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Zusammenfassung Model Checking befaflt sich mit dem Beweis von Eigenschaften eines ge- 
gebenen Systems mittels mathematischer Methoden. Beim Einsatz solcher Methoden in der 
Hard ware- Verifikation an realen Schaltungen ist man mit grundlegenden Komplexitatsproble- 
men konfrontiert. Es ist aJlgemein bekannt, dafi oft allein schon die Grofie einer SchaJtung 
Verifikationsaufgaben scheitern lafit oder die Laufzeiten gegenwartiger Verifikations- Tools in 
den Bereich von Tagen treibt, oder aber schon vorher das Herauslosen relevanter Teile aus 
dem System und eine getrennte Verifikation erzwingt. Mit standig wachsender Grofie digitaler 
Schaltungen wird der Test auf korrektes Verhalten zunehmend komplexer, zeitaufwendiger und 
teurer, gleichzeitig bekommt er aber auch eine iraraer wichtiger werdende wirtschaftliche Bedeu- 
tung fur das schaltungsherstellende Unternehmen. Diese Erfindung schlagt einen methodischen 
Vorverarbeitungschritt vor der eigentlichen Verifikationsaufgabe vor. Ziel ist es, durch eine se- 
mantikerhaltende Vorverarbeitung ein grSfienreduziertes Model) der SchaJtung zu erhalten, auf 
dem dann die eigentliche Verifikation erfolgt. Hierbei konnen bestehende Verifikationsverfahren 
angewendet werden, die dann i.a. deutlich schneller laufen als auf dem ursprunglichen Design. 
Die Abstraktion auf das reduzierte Modell erfolgt dabei in solch einer Weise, dafi die Verifikati- 
onsergebnisse auf dem reduzierten Modell ubertragbar auf das Original sind. 



1 Einleitung 

Register-Transfer-Level (RTL) Beschreibungen einer digitalen Schaltung enthalten ein gro Ge- 
res Mafi an expliziter Information als Bit-Level Beschreibungen. Auf Bit-Level (wie z.B. in 
Gatterlisten) sind alle Signale genau ein Bit breit, als Operatoren stehen nur Boolesche Gatter 
zur Verfiigung. Im Gegensatz dazu sind auf RT- Level Strukturen wie Bitvektoren und Busse 
ebenso sichtbar wie High-Level Operatoren (z.B. Addierer, Shifter, Multiplexer). Beispiele fur 
RT-Level Beschreibungen sind u.a. Hardwarebeschreibungssprachen wie VHDL und Verilog. 
Ziel des hier beschriebenen Ansatzes ist es, dieses Mafi an RT-Information einer Schaltungs- 
beschreibung auszunutzen, um die Verifikationsaufgabe fur Hardware- Verifikations-Tools zu 
vereinfachen und zu beschleunigen. Die Erfindung betrifft eine neue Abstraktionstechnik, die 
als Praprozefi im High-Level Property Checking fur digitale Schaltungen vorgeschlagen wird. 
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Sind eine RTL Spezifikation einer Schaltung und eine Eigenschaftbeschreibung gegeben, so 
berechnet das Verfahren ein reduziertes Modell der Schaltung, auf dem dann die eigentliche 
Verifikation durchgefuhrt wird. In dem reduzierten Modell ist die Breite eines jeden Signals 
auf die jeweils minimale Anzahl an Bits verringert, die notig ist, um noch in der Lage zu 
sein, die Gultigkeit der Eigenschaft fiir die Schaltung zu beweisen oder zu widerlegen. Die 
generelle Datenflufi- und Kontrollflufi-Struktur der Schaltung bleibt dabei erhalten. Weiteres 
wesentliches Charakteristikum der Modellreduktion ist, dafi die Abstraktion in einer Weise 
erfolgt, so dafi die zu untersuchende Eigenschaft genau dann fiir die Schaltung gilt, wenn sie 
fiir das reduzierte Modell gilt. Die Verifikation kann also vollstandig auf dem verkleinerten 
Modell vorgenommen werden, ein False- Negative (in dem Sinne, dafi die Eigenschaft in ei- 
nem der Modelle gilt und in dem anderen nicht) kann nicht auftreten und mufi somit nicht 
iiberpruft werden. Weiterhin stellt das Verfahren eine Methode zur Verfugung, die im Fall, 
dafi die Eigenschaft ungultig ist, aus einem Gegenbeispiel, das auf dem reduzierten Modell 
gefunden wird, ein Gegenbeispiel fiir die ursprungliche Schaltung berechnet. Somit erlaubt es 
das Verfahren, den gesamten Abstraktionsprozefi fiir einen Benutzer unsichtbar zu machen. 

Im allgemeinen laufen Verifikationsprozeduren auf kleineren Modellen schneller als auf grofien. 
Das Verfahren eroffnet die Moglichkeit, bestehende Schaltunggrofien schneller zu verifizieren 
bzw. groflere Schaltungen als vorher mit bestehenden Techniken moglich mit eben denselben 
Techniken zu bearbeiten oder komplexere und kompliziertere Eigenschaften zu uberprufen. 
Das reduzierte Modell ist dabei selber wieder eine RTL-Spezifikation einer skalierten Version 
der Ausgangsschaltung. Vorverarbeitung und eigentliche Verifikation erfolgen voneinander 
unabhangig und getrennt, was eine Kombination des hier vorgestellten Verfahrens mit einer 
Bandbreite an bestehenden Verifikat ions verfahren zulafit. 



2 Das technische Problem, das durch die Erfindung gelost wird 

Diese Erfindung betrifft einen Ansatz und eine Methode, um durch eine semantikerhaltende 
Vorverarbeitung ein grofienreduziertes Modell einer Schaltung zu erhalten, auf dem dann 
bestehende Verifikat ionsverfahren angewendet werden. Der Anspruch der Erfindung ist es, 
ein neues Verfahren fiir eine solche Modellreduzierung geschaffen zu haben, das folgendes 
leistet: 

o D ie zu verifizierende Eigenschaft gilt genau dann fiir das Ausgangsmodell, wenn sie fiir 

das verkleinerte Modell gilt, 
o Gilt eine Eigenschaft nicht, und ein Hardware- Verifikations- Tool liefert ein Gegenbeispiel 

in Form von Eingabebelegungen fiir das reduzierte Modell, so lafit sich hieraus unmit- 

telbar ein Gegenbeispiel in Form von Eingabebelegungen fiir die ursprungliche Schaltung 

generieren. 

o Ursprungliche Schaltung und reduziertes Modell unterscheiden sich voneinander nur in 

den (Bit-) Breiten der Signale und Busse. 
o Die Grofie des reduzierten Modells ist in Bezug auf Schaltung, Eigenschaft und das hier 

vorgestellte Verfahren minimal. 
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Das Anwendungsszenario des Verfahrens ist dabei wie fclgt charakterisiert: 
o Verifikation wird im Sinne von Bounded Model Checking verstanden. 

o Die Verifikationsaufgabe wird als Uberprufung einer Eigenschaft fur eine gegebene Schal- 
tung formuliert. 

o Die Schaltung liegt in einer High-Level Beschreibung vor (z.B. Hardwarebeschreibungs- 

prache wie VHDL oder Verilog, RTL-Netzliste, etc.). 
o Die Eigenschaft beschreibt das zu iiberprufende Verhalten der Schaltung innerhalb eines 

endlichen Zeitintervalles. 

Folgende Vorteile ergeben sich bei einem solchen Vorgehen: 

o Auf dem reduzierten Modell konnen herkommliche Verifikationsverfahren, die auf der 
urspriinglichen Schaltung angewendet wurden, weiter angewendet werden, es ist keine 
spezielle Abstimmung dieser Verfahren auf das reduzierte Modell notig. 

o Bei der Verifikation auf dem reduzierten Modell kann es in den Ergebnissen nicht zu 
False-Negatives kommen wie es bei bestimmten anderen Abstraktionstechniken moglich 
ist. Gegenbeispiele mlissen nicht weiter auf Echtheit iiberpruft werden und konnen direkt 
in Form von Gegenbeispielen fiir die Ausgangsschaltung dargestellt werden. 

© Das Verfahren analysiert die Skalierbarkeit der Schaltung und berechnet eine maximale 
Skalierung, d.h. ein minimales Modell. 

© Da die Modellreduzierung lediglich bzgl. der Skalierung von Signalbreiten erfolgt, bleibt 
die generelle Schaltungsstruktur komplett erhalten. 

© Da das Laufzeitverhalten vieler HW- Verifikationsverfahren i.a. exponentiell ist, birgt eine 
Grofienreduzierung durch Skalierung ein enormes Potential zur Laufzeitbeschleunigung. 

o Skalierung als Vorverarbeitung birgt weiterhin das Potential, Schaltungen zu bearbeiten, 
deren Groflen bislang die Grenzen und Kapazitaten bestehender Tools iiberschreiten. 

© Ist fiir eine Schaltung bedingt durch ihre Charakteristika keine Reduzierung moglich, so 
ist das Ergebnis des Verfahrens (das reduziertes Modell) gleich der Ausgangsschaltung. 
Es tritt in diesem Sinne niemals eine Verschlechterung der Verifikationsaufgabe durch 
Benutzung des Verfahrens als Praprozefl ein. 

o Untersuchungen haben gezeigt, dafi die Laufzeiten fiir dieses Verfahren und die Vorverar- 
beitung gegeniiber der Laufzeit der anschlieflenden eigentlichen Verifikation komplett zu 
vernachlassigen sind. 

o Insbesondere lafit sich beschriebenes Verfahren und beschriebene Methodologie auch beim 
High-Level Equivalence Checking anwenden, was als ein Spezialfall des oben beschriebe- 
nen Anwendungsszenarios angesehen werden kann. Hierbei kann z.B. die Schaltungsbe- 
schreibung zwei verschiedene High-Level Implementierungen desselben Designs beinhal- 
ten und die Eigenschaftsbeschreibung die Aquivalenz beider Implementierungen fordern. 
Oder aber die Eigenschaftsbeschreibung kann selber eine funktionale Spezifikation der 
Schaltung sein, z.B. auch in einer Hardwarebeschreibungsprache. 

3 Das Problem-Umfeld 

Abbildung 1 zeigt, wie sich das Verfahren ins klassische Property Checking Framework 
einfugt. Gegeben sei die Beschreibung eines digitalen Designs in einer Hardwarebeschrei- 
bungssprache, wie z.B. Verilog oder VHDL. Zunachst erfolgt eine Ubersetzung in eine RTL- 
Netzliste aus High-Level Operatoren, wie z.B. Addierern, Multiplexer^ Booleschen vektor- 
wertigen Gattern und Vergleichern. Alle Signale haben eine fest vorgegebene Bitbreite und 

3 
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nehmen Vektoren aus Bits als Werte an. Signale auf dern Kontroll-Pfad haben typischerweise 
die Breite 1, und Signale auf dem Datenpfad haben z.B. je nach Anwendungsgebiet der Schal- 
tung Breiten von 4 bis zu 64 Bits. Property- Checker nehmen solch eine RTL Netzliste und 
eine Eigenschaftsspezifikation (in der Regel in einer formalen Eigenschaftssprache) als Einga- 
be und beweisen die Giiltigkeit dieser Eigenschaft, bzw. geben andernfalls ein Gegenbeispiel 
zuruck. 



, Property 



' Verilog, VHDL . 



Frontend 



\ RTL net! is t 



i Counierexompie 




' y J2f££ i reduced 02. 



--[ 



Property Checker 



I reduced I 
I Counterexample! 



Abbildungl. Property Checking Flow 



Das Verfahren nimmt eine RTL Netzliste und eine Eigenschaftsbeschreibung und berech- 
net ein verkleinertes Modell der Schaltung, in dem alle Signalbreiten auf ein notwendiges 
Minimum herunterskaliert sind. Dieses abstrahierte Modell wird an Stelle des Originals als 
Eingabe an die Beweiser weitergereicht. Die Abstraktions Iiefert eine eigenschaftsspezifisches 
1-zu-l Modell der RTL Netzliste. Dies bedeutet, daC die Eigenschaft genau dann fur das Aus- 
gangsdesign gilt, wenn sie auch fur das reduzierte Modell gilt. Somit konnen keine falschen 
Gegenbeispiele auftreten. Gilt die gegebene Eigenschaft fur das Design nicht, gibt der Pro- 
perty Checker ein Gegenbeispiel zuruck, das Wertebelegungen fur alle Eingangssignale des 
reduzierten Modells angibt. Das Verfahren nimmt solch ein Gegenbeispiel und berechnet 
daraus ein Gegenbeispiel fur die Originalschaltung. Die 1-zu-l Abstraktion des Verfahrens 
garantiert, dafi es nur genau dann ein Gegenbeispiel, das die Eigenschaft verletzt, fur das 
eine Modell gibt, wenn es auch ein Gegenbeispiel fiir das andere Modell gibt. 

Die Verfahren zur Generierung des abstrahierten Modells und fiir die evtl. Ruckrechnung 
von Gegenbeispielen sind strikt getrennt vom eigentlichen Model Checking. Das Verfahren 
ist unabhangig von der konkreten Realisierung des Property Checkers und lafit sich so mit 
einer Vielzahl verschiedener Be we is verfahren kombinieren, die RTL Beschreibungen als Ein- 
gabe nehmen, unabhangig davon ob der zugrundeliegende Beweiser auf Bit-Ebene arbeitet 
(z.B. SAT- Verfahren oder BDD basierte Methoden) oder High-Level Techniken benutzt (ILP- 
Verfahren, arithmetische Constraint-Solver). 



4 Losungsansatz dieser Erfindung 

Das vorgestellte Verfahren benutzt eine Kombination aus Techniken zur Analyse von struk- 
turellen Datenpfad- Abhangigkeiten und interpretierten und uninterpretierten Abstraktionen, 
urn die Signalbreiten in RTL Design Modellen herunter zu skalieren. Die grundlegende Idee 

4 
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ist es, die Bitbreite eines jeden im Design vorkommenden Signals auf die minimale Anzahl 
von Bits zu reduzieren, die ausreichend ist, um die Eigenschaft uberpriifen zu konnen. 

RTL signal shrunken signal reduced RTL 

r — — — — — -i r — — — — — -i 

I wire [9:0] x; | - *[io] x' l4 i i wire [3:0] x> ; | 



-J I- ______ _l 



Abbildung2. SignaJbreiten-Skalierung/Reduziemng 



Als erster Schritt wird die RTL Netzliste in ein aquivalentes System aus Gleichungen in einer 
formalen Bitvektor-Theorie iibersetzt. Dieses Gleichungssystem ist genau dann losbar (d.h. 
erfullbar), wenn die gegebene Eigenschaft nicht fur das Design gilt. Eine Losung des Glei- 
chungssystems, so sie existiert, liefert ein Gegenbeispiel, das fur jedes Signal des Designs eine 
Wertebelegung angibt, so dafl die Eigenschaft unter der Gesamtheit dieser Wertebelegungen 
verletzt ist. 



, RTLnetlist , 
\ Property J 



equations sarisfiabk 



System of 
BV equations 



Granularity 
Anaiytska 

■ V ^iwl mi iitt| Width 
Abstraction 



eqnalioni satisfiabk - 



System of 
BV equations 
vn'r/i shrunken 
signal widths 



if and only if 
property does not hold for RTL 



equations satisfiabk 
- ifandonlytf 
property does not bold for RTL 



reduced 
RTL netlist 



Abbildung3. Generierung des reduzierten Modells 



Die Leistung des hier vorgestellten Verfahren ist die Konstruktion eines abstrakten Modells 
dieses Gleichungssystems. Die strukturellen Datenabhangigkeiten innerhalb der Bitvektor- 
Gleichungen werden analysiert und ein zweites Gleichungssystem wird berechnet, in dem die 
Breite einer jeden Bitvektor-Variablen auf die geringstmogliche Anzahl Bits reduziert ist, so 
dafl das erhaltene Gleichungssystem genau dann erfullbar ist, wenn auch das Ausgangsglei- 
chungssystem erfullbar ist. 

• Die Datenabhangigkeiten der einzelnen Signale der Schaltung untereinander und die 
Abhangigkeiten von zusammenhangenden Bereichen innerhalb der Signale werden analy- 
siert. 

o Fur jedes Signal wird eine Unterteilung in zusammenhangende Signalbereiche (Granula- 
rity) berechnet, in der jeweils die Bits eines solchen Bereiches uniform behandelt werden 
konnen. 
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o Basierend auf den Ergebnissen der beiden vorhergehenden Schxitte wird fiir jeden Bereich 

der Granularitat eines Signals die minimale Anzahl an Bits berechnet. auf die die Breite 

dieses Bereiches reduziert werden kann. 
o Zur Generierung des reduzierten Modells wird in der Ausgangsschaltung jedes Signal auf 

die hierfiir vorhergehend berechnete minimale Breite reduziert (genauer: auf die Summe 

der minimalen Breiten der einzelnen Bereiche). 
o Das Verfahren garantiert die Aquivalenz von Giiltigkeit der Eigenschaft auf der urspriing- 

lichen Schaltung und Giiltigkeit auf dem reduzierten Modell. 
o Das Verfaliren berechnet die maximal mogliche Skalierung. d.h. die minimal moglichen 

Signalbreiten, die ausreichend fiir die Eigenschaftsuberpriifung auf Schaltung und redu- 

ziertem Modell ist. 



Die Modell-Generierung unterteilt sich in zwei aufeinanderfolgende Phasen. Zunachst wird fiir 
jede Bitvektor- Variable die grobstmogliche Granularitat berechnet, wie sie von den strukturel- 
len Datenabhangigkeiten innerhalb der Bitvektor-Gleichungen vorgegeben wird. Unter einer 
Granularitat versteht man dabei eine Aufteilung eines Bitvektors in verschiedene zusam- 
menhangende Stlicke {Chunks), die die jeweils grobstmogliche Zusammenfassung einzeiner 
Bits innerhalb des Vektors darstellen. Diese wird in Abschnitt 4.2 veranschaulicht. 



I M t I I M 1 I I I I I I M 



Granularity Analysis 



nx 



Minimum Width Abstraction 



M INI 



4 4: 414 
m □ □ □ m 



Reduced Model Generation 




12X11,6X5X4, 2><1,0> 



(7] 



Abbildung4. Abstraktionstechnik 



Anschliefiend wird fiir jeden Chunk die notwendige minimale Breite berechnet, siehe auch 
Abbildung 4.3. Gemafi dieser berechneten minimalen Breiten wird ein reduziertes Modell 
jeder Bitvektorvariablen zusammengesetzt. Das reduzierte System von Bitvektorgleichungen 
unterscheidet sich von dem Original lediglich in den Breiten der Variablen, wobei die Breite 
einer jeden Variablen im reduzierten System kleiner oder gleich der Breite der entsprechen- 
den Variable im Ausgangsgleichungssystem ist. Ein weiterer Beitrag des Verfahrens ist eine 
Methode zur Berechnung von Losungen fiir das Originalgleichungssystem aus Losungen des 
reduzierten Systems. Diese Berechnung basiert auf den Ergebnissen der vorherigen Granula- 
ritatsanalyse und Minimale-Breiten-Berechnung. 
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4.1 Eine formale Theorie von Bitvektoren fester Breite 

Wir definieren eine gleichungsbasierte formale Theorie von Bitvektoren fester Breite, die 
eine Erweiterung der Kerntheorie von Bitvektoren, die in [Moe98] angegeben wird, darstellt. 
US := {0, 1} bezeichne die Menge von Bit-Werten 0 und 1. Ein Bitvektor der Breite n € N+ 
ist ein Vektorelement von B' 1 , bestehend aus tx einzelnen Bits, die von rechts nach links 
beginnend mit 0 durchindiziert werden. sei durch E\ n ] bezeichnet. 

Definition 1 (Bitvektorvariablen). Sei n £ N+ . Eine Bitvektorvariable X[ n] der Breite 
n ist eine getypte Variable, die einen Bitvektor v € B[ n j der festen Breite n reprdsentiert. m 

Fur jede Bitvektorvariable ist ihr Typ, d.h. ihre Breite n, eine beliebige aber fixe wohlbe- 
kannte positive natiirliche Zahl. Desweiteren beinhaltet unsere Theorie Bitvektorkonstanten 
C[m]> m ^^+ un <3 cGN, die als binare Bitstrings notiert werden. Irn Unterschied zur Kern- 
theorie von [Moe98], die lediglich Extraction und Konkatenation als Operatoren kennt, ist 
unsere Theorie um einen kompletten Satz von High-Level Operatoren erweitert, deren Zu- 
sammenfassung in Abbildung 5 zu sehen ist. Neben bitweisen Booleschen Operatoren sind 
z.B. Arithmetik und Speicherzugriffe modelliert, und insbesondere ein if-then-else Operator, 1 
der die Beschreibung von dynamischen Datenabhangigkeiten gestattet. 



Bitvector Operator 


Syntax 


Example 


bitvector variables 
bitvector constants 


*(»] 

C[ml 


100U f5l ,00111111 (8b 0 fll ,l ul ,.. . 


concatenation 


® 


X[16] ® V f4l 


extraction 


b'.f] 


*!8i[5,2] J 


negation 


neg 


n eg(x[8i) 


bitwise Boolean operations 


and, or, nor 
nand, nor, xnor 


X[i2j and i/| 12 j, X[ i2 ] or y [i2) , X[ X2 ) xor y (12] 
x (12 ] nand y ri21 , x\ 12 ] nor y |12l , x [12] xnor y (12l 


Boolean reductions 


redAnd, redOr, redXor 


redAnd(ar [8l ), redOr(x, 8l ), redXor(x r81 ) 


if-then-else 


ite 


ite(o[ 4 ] = 6(4], «(8], V\8}) 

ite(o, 4 ) < b [4h x {8] , y f81 ) \ 


arithmetics 


+ 


X 132) + y [32 3 

X !16] * 1/(161 


memory read 
memory write 


^C"»[mn][*[l]] 


X(i 0 j := mcm [128 .io][t t7 ]] 
wicm[ l28 .ioi[«f7i] := S(ioi 



Abbildung5. Eine formale Theorie von Bitvektoren fester Breite 



Die Menge wohldefinierter Bitvektor-Therme ist in der ublichen Art definiert, Wohldefiniert- 
heit impliziert, dafi Variablenbreiten mit den entsprechenden Operatoren vertraglich sind und 
dafl Extraktionen nicht die Breiten der zugehorigen Therme uber- oder unterschreiten. Der 
obige Satz an Operatoren ist ausreichend um z.B. komplette VHDL oder Verilog Designs 

1 Die Booleschen Pradikate = und < sind auf Bitvektorargumenten gleicher Breite definiert. Gleichheit ist 
bitweise definiert, < gemafi der lexikographischen Ordnung auf Bitstrings. 
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innerhalb dieser Theorie zu beschreiben. Zusatzliche High-Level Operatoren, wie z.B. Shifts. 
Rotieren oder weitere Boolesche Pradikate, lassen sich mit Hilfe der vorhandenen Operatoren 
ausdriicken, ohne dafi sich dadurch Anderungen bzgl. der Skalierbarkeit ergeben. Variablen- 
belegungen, Gleichungen von Bitvektor-Thermen und der ErfullbarkeitsbegrifT werden in der 
ofTensichtlichen Weise eingefiihrt. 

Beispiel 1 (Bitvektorgleichungen) Seien X[ 16 j, l/[ 4 ] und Z[ 4 ] Bitvektorvariablen. 

1. x [16] [15,8] ® x [16] [7,0] = as [i 6 ] 

2. X[ 16] = neg(x [16] ) 

3. y [4] and 1100[ 4] = z [A] 

Gleichung 1 ist allgemeingilltig und Gleichung 2 unerfiillbar. Die dritte Gleichung ist erfiillbar, 
z.B. durch y\ A ] : — 0111[ 4 j und Z[ 4 ] := 0100[ 4 ], sie ist aber nicht allgemeingultig. □ 



Beispiel 2 (Systeme von Bitvektorgleichungen) Sei folgendes System von Bitvektor- 
gleichungen mit Bitvektorvariablen X[ 8 ] und |/[ 4 j gegeben. 



( *[8] = V[4l®V4l ) 

(x [8] [4,4] = neg(x [8] [0,0]) ) 



Einzelnd genommen ist sowohl die erste Gleichung als auch die zweite erfiillbar, das Glei- 
chungssystem in seiner Gesamtheit jedoch ist unerfiillbar. □ 



4.2 Granularitat sanalyse 

Gegeben sei ein System von Bitvektorgleichungen. Das hier vorgestellte Verfahren analysiert 
in einem ersten Schritt die strukturellen Datenabhangigkeiten aller Bitvektorvariablen unter- 
einander, wie sie von den in den Gleichungen vorkommenden Operatoren bestimmt werden. 
GemafS dieser Analyse werden die einzelnen Bitvektorvariablen in Chunks zerlegt, und auf 
diese Weise wird fur jede Variable eine Granularitat berechnet. 

Definition 2 (Chunk). Ein Chunk X[ n ]{j,i), n > j > i > 0, einer Bitvektorvariablen 
X[ n ] ist ein zusammenhangender Teilbereich von xj n ]. Chunks sind genau die Resultate von 
Extraktionsoperationen auf Bitvektorvariablen, d.h. X[ n ]{j, i) := Xj n ][j, t]. S3 

Definition 3 (Granularitat). Eine Granularitat einer Bitvektorvariablen X[ n ] ist eine voll- 
stdndige Partitionierung von X[ n j in verschiedene einzelne Chunks von x\ n y Chunks C[ mi ], 
c [m 2 ]> •••> c [m k ) einer Bitvektorvariablen X[ nj bilden genau dann eine Granularitat von X[ n ]> 
tycnn 0iU x [n] = c [mi] <g> c [m2 j ® . . . ® c [mfc] . iS 
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Beispiel 3 X[ 16 i(15, 8) 5 X[ 16 ](7, 5),a:r 16 j(4, 4),X[ l6 ](3, 0) bilden eine Granularitdt von X[ 16 j. 
Als Notation kiirzen wir tine solche Granularitdt wie jolgt ab: scr 16 j (15. 8) (7, 5) (4, 4) (3, 0) . Ein 
weiter^es Beispiel hierzu findet sich in Abbildung 4- □ 



Wahrend der Granularitatsanalyse werden Variablen (oder bereits berechnete Chunks) dann 
und nur dann in (weitere) Chunks zerlegt, wenn es durch die Operatoren in den Gleichungen 
erzwungen wird, d.h. wenn es die strukturellen Abhangigkeiten vorschreiben. Strukturelle Da- 
tenabhangigkeiten sind z.B. durch Extraktionen, Konkatenationen, Reduktionen, Arithmetik 
und SpeicherzugrifTe bedingt. Im allgemeinen treten sie immer dann auf, wenn eine Bitvek- 
torvariable oder ein Term nicht als Einheit behandelt wird. sondern verschiedene Operatio- 
nen auf unterschiedlichen Bereichen ausgefuhrt werden. Diese strukturellen Abhangigkeiten 
konnen dynamisch bedingt sein, z.B. wenn im then- und else-Fall einer Fallunterscheidung 
unterschiedliche Abhangigkeiten auftreten. 



W[l6] ll5tN|>.VI2jllll«.v|lhif,|j|4l3^1 llol 

35(6] IVi'&i^SKkgl 

y [G] EZEsmng 

z [l2 ) m^:s^4ifMm 
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V[16 

Wfi6][0,0] 
z {n.s] 
n eg(V[6]) 
(z |6] and y [6] )[5,4j 



][7,0] 



Equations 



*{!2][7,0j®2 112 

ac [6l [3,0] and ui (16J [ll t 8] 
ty (16] [15,12](8)x [16] [3,2] 
W[i6j[7,6] or iy ( i6][5,4i or w [16] [3,2] 




Abbildung6. G ran ulari tats analyse 



Das Verfahren berechnet fiir jede Bitvektorvariable die grobstmogliche Granularitat, die so- 
wohl die statischen als auch dynamischen Datenabhangigkeiten berucksichtigt. Die Berech- 
nungerfolgt unter Verwendung einer speziellen dynamischen Aquivalenzklassen-Struktur, wo- 
bei Bitvektorvariablen bzw. Chunks immer genau dann weite.r zerlegt werden, wenn wahrend 
der Analyse auf strukturelle Extraktionen getroffen wird. Zwei Chunks zweier (nicht notwen- 
digerweise verschiedener) Bitvektorvariablen landen genau dann in derselben Aquivalenzklas- 
se, wenn ihre einzelnen Bitpositionen durch die Opertoren einer Gleichung bitweise zueinan- 
der in Beziehung gesetzt werden. Auf die Weise werden wechselseitig strukturell abhangige 
Chunks in Aquivalenzklassen gruppiert, veranschaulicht in Abbildung 6. 



Beispiel 4 Man betrachte folgende Bitvektorgleichung: z [s] = x [4] ® y [4] . Initial liegen alle 
Bitvektorvariablen in verschiedenen Aquivalenzklassen, ndmlich : {x (4 ]} ; {y [4 ]}, {z[ 8] }. Der 
Konkatenations operator in der rechten Seite der Gleichung erfordert eine Zerlegung von z [8 i 
zwischen den Bitpositionen 3 und 4, und die Gleichung selbst erzwingt, dafi der obere Bereich 
von z [8 ] strukturell aquivalent zu X[ 4] und der untere Bereich zu y [4) ist Somit ist der Folge- 
zustand der Aquivalenzklassen {z [8] (7, 4), a> [4] }, {z [s] (3, 0), y [4] } . □ 
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Die Aquivalenzklassen-Berechnung erfolgt inkrementell. Jede Gleichung wird genau einmal 
von dem Verfahren analysiert und der dadurch bedingte Folgezustand der Aquivalenzklassen 
berechnet. Klassen werden, falls notig, vereinigt oder zerlegt, was in dieser speziellen Struktur 
bedeutet, dafi alle Chunks innerhalb einer Klasse an derselben Bitposition getrennt werden 
und die entsprechenden Teile in zwei neuen Klassen gruppiert werden. Sobald alle Gleichun- 
gen des Systems auf diese Weise analysiert worden sind, ist fiir jede Bitvektorvariable die 
grobstmogliche Granularitat durch den Zustand der Aquivalenzklassen gegeben, d.h. durch 
die Breiten der zugehorigen Chunks in den Klassen. 

4.3 Minimale-Breiten- Abstraktion 

Im Anschlu.fi an die Granularitatsanalyse wird fiir jede Aquivalenzklasse C getrennt die mi- 
nimale Chunk-Breite tp{C) berechnet, fiir die gilt, dafi das Ausgangssytem von Bitvektorglei- 
chungen genau dann erfullbar ist, wenn das reduzierte System erfullbar ist, in dem die Breite 
aller Chunks aus C auf <p(C) reduziert ist. 




Abbildung7. Minimale-Breiten Berechnung 

tp(C) ist eine Funktion, deren Ergebnis sowohl von der Anzahl Chunks in C abhangt als auch 
von Anzahl und Art der verschiedenen High-Level Operatoren, die in den Bitvektorgleichun- 
gen auf den Chunks aus C operieren. Details uber die genaue Berechnung von <p(C) wiirden 
den Rah men dieses Berichtes sprengen, stattdessen werden einige prinzipielle Beispiele gege- 
ben. 

Beispiel 5 Fiir Gleichung en, die lediglich Konkatenation, Extraktion und Negation als Ope- 
ratoren enthalten, kann die Breite aller Chunks in einer Klasse auf ein Bit reduziert werden. 

erfullbar 

*[16] = J/[ 8 j ® *[8] <=> *'[2] = y'fi] ® z'[ij 

Aus einer Losung fiir die reduzierte rechte Gleichung, lafit sich eine Losung fiir die linke 
Ausgangsgleichung durch Kopieren des Wertes von y' [x] in alle Bits von y [8] und alle von 
*[16][15,8] und durch Kopieren von z' [x] in alle Bits von z (8] und aj [16 j[7,0] erhalten. □ 
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Beispiel 6 Fur Gleichungen, die lediglich bitweise Boolesche Operationen enthalten, kann 
die Breite aller Chunks in einer Klasse auf ein Bit reduziert werden. 

er f illlbar 

Zf 8 ] = x [8 ] and y [8] <=> z' {l] = and y' (1] 

Wiederum lafit sich eine Losung fur die linke Gleichung durch Kopieren der Bitwerte einer 
Losung der rechten Gleichung in alle Bits der entsprechenden Variablen der linken Gleichung 
berechnen. □ 



Beispiel 7 Gleichungen, die dynamische Datenabhdngigkeiten beinhalten, z.B. if-then-else 
Konstrukte, erfordern eine Analyse aller moglichen Ungleichungen zwischen Variablen, re- 
sultierend aus den Konditionalteilen. 

a [i] = ite(x[ 8] = y [8] , 0 fl]l 

<>[1] = 'te(y [8] = Z [8h 0 (1]l erfullbar 

C[1] = \te(z [8] = x [8h 0 [1]5 l [x] ) ^ *W^»[8] A y [8] *z [8] A * [8] #* [8] 

= 0[i] and 6[!) and C[ij 

Es gilt: 

x [8] / 1/(8] erfullbar x'jj] ^ y'^j 

A y (8 ] 7^ *[e] A y' (1] ^ z ' (1] 

A *[8] 7^ X[8] i A ji x'li] 

Die Minimale-Breiten Berechnung des hier vorgestellten Verfahrens liefert 

x [&] ^ V[%) erfullbar x' [2j # v' [2] 

A y (8] ^ z [8] a y' [2] ^ z' (2] 

A 2(8] ^ *[ 8 ] A z' [2] ^ x' [2] 

tmd sorm'i folgende Reduzierung des Gleichungssystems: 

= ite(* (e] = y [8] , 0 (1]) a'^ - ite(x' [2] = y' [2]l 0 (ljl 

= 'te(V[ 8] = 2(8], 0 (1] , erfuUbar b > {1] = ite(y' [2] = z' [2] , 0 (1] , l^j) 

C[i] - ite(z [8] = x [8]l 0 (1]l ' ' c ' fl] = ite(z' [2] = x' [2]l 0 (1]) 

= o (1] and 6 (1] and C[1] l^, = a ' {1] and 6' (1] and c'^j 



□ 
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Das in dieser Erfindungsmeldung vorgestellte Verfahren ist in der Lage, die Minimale-Breiten 
Berechnung flix Gleichungssysteme durclizufuhren, die den kompletten Operatorsatz der in 
Abschnitt 4.1 vorgestellten Bitvektor-Theorie benutzen. Dabei konrien die Operatoren in 
beliebiger Klammerung oder Verschrankung in den Thermen der Gleichungen benutzt werden. 
Sind die minimalen Breiten fiir alle Aquivalenzklassen berechnet, so erfolgt die Generierung 
des reduzierten Gleichungssystems durch Ersetzung der Breiten der Chunks der Variablen 
im Ausgangsgleichungssystem durch die berechnete minimale Breite der zu einem Chunk 
gehorigen Aquivalenzklasse. 

4.4 Zusammenfassung 

Abschliefiend werden die Methoden. die diese Erfindung zur Verfiigung stellt, zusammenge- 
fafit: 

o Verfahren zur Granularitats-Analyse fiir RTL Schaltungsbeschreibungen mit komplet- 

tem RTL-Operator Satz 
o Verfahren fur Minimale-Breiten- Abstraktion basierend auf RTL Granularitatsanaly- 

se 

o Granularitats-Analyse und Minimale-Breiten-Abstraktion zur Berechnung eines grofien- 
reduzierten 1-zu-l Modells von RTL Schaltungsbeschreibungen 

o Verifikationsmethodologie zur Anwendung von Granularitatsanalyse und Minimale- 
Breiten-Abstraktion als Praprozefi im (Bounded) Model Checking 

o Verfahren zur Ruckrechnung abstrahierter Gegenbeispiele in Gegenbeispiele 
fur das Ausgangsmodell basierend auf den Ergebnissen der vorherigen Granularitats- 
Analyse und Minimale-Breiten-Abstraktion 

Besondere Schwierigkeiten, die hierbei iiberwunden werden mufiten bzw. fur die eine neue 
Losung gefunden wurde, sind: 

o Die Granularitatsanalyse kann mit dem kompletten Satz an High-Level Operatoren urn- 
gehen. Insbesondere beriicksichtigt die Analyse nicht nur statische, sondern auch dyna- 
mische Datenabhangigkeiten (z.B. durch Kontrollstrukturen bedingte Abhangigkeiten 
wie bei if -then-else). 

o Die Berechnung der minimalen Signalbreiten im Anschlufl an die Granularitatsanalyse 
stellt eine neue Abstraktiontechnik dar. 

o Granularitatsanalyse und Minimale-Breiten-Berechnung stellen zu jedem Zeitpunkt si- 
cher, dafi die Eigenschaft genau dann fur das reduzierte Modell gilt, wenn sie 
auch fiir die ursprungliche Schaltung gilt. 

5 Anwendungsbeispiel 

Ein Prototyp des vorgestellten Verfahrens ist implementiert worden und bei ZT-SE-4 von 
Siemens Munchen und bei Computer Network Peripherals von Infineon in San Jose, Kalifor- 
nien, getestet worden. Die Resultate zeigten sich vielversprechend und werden in einer Fallstu- 
die anhand der A dreU- Management- Ein he it eines ATM-Switching- Elementes veranschaulicht. 
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Die Schaltung besteht aus ca. 3000 Zeilen Verilog-Code. die synthetisierte Netzliste umfaflt 
ungefahr 22.000 Gatter und 35.000 RAM Speicherzellen. Das Design besteht im wesentlichen 
aus 16 FIFO-Queue PufTern und einer komplexen Kontroll-Logik. Speicheradressen werden 
liber 33 Eingabekanale an die Management-Einheit gereicht, in den FIFO's gespeichert, und 
auf Anfrage auf einem von 17 Ausgabekanalen wieder ausgegeben. wobei die Reihenfolge 
der iibergebenen Datenpakete erhalten bleiben sol] und keine Adresse aus der Management- 
Einheit verlorengehen darf. Abbildung 8 zeigt ein Blockdiagramm der Schaltung. 
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Abbildung8. Blockdiagramm des ATM Switching Elements 



Der Prototyp wurde als Praprozessor fur einige der Siemens Property Checker benutzt. Drei 
verschiedene Eigenschaften, nop, read und write, sollten verifiziert werden, die jeweils das 
zu uberpriifende Verhalten der Schaltung iiber 4 (nop, write) bzw. 6 (read) Zeitschritte 
beschrieben. Das Verfahren analysierte das gegebene Design und die Eigenschaften und ge- 
nerierte reduzierte Modelle der Schaltung, die dann als Eingabe an die Property Checker 
weitergegeben wurden. Es stelle sich heraus, dafi die write Eigenschaft nicht erfullt war 
aufgrund eines Design-Fehlers im Verilog Code. Die Eigenschaftsverletzung wurde von dem 
Property Checker erkannt und in Form eines Gegenbeispieles fur das reduzierte Modell aus- 
gegeben. Hierdraus wurde ein Gegenbeispiel fur die Ausgangsschaltung berechnet und der 
Fehler im Design behoben, woraufhin die Eigenschaft erneut auf der korrigierten Schaltung 
und ihrem reduzierten Modell verifiziert wurde (write_f aiJL, write_hold). Die Laufzeiten 
des Property Checkers auf den reduzierten Modellen wurden gegen die Laufzeiten auf dem 
uxsprunglichen Design (ohne Praprozess) verglichen und finden sich in Abbildung 5. 

Es stellte sich ein erhebliche Reduktion der Modellgrofien und eine erhebliche Beschleunigung 
der Laufzeiten des Property Checkers heraus. Die Modellgrofien konnten durchschnittlich 
auch ca. 30% der ursprunglichen Schaltungsgrofie (gemessen in der Gesamtzahl an Bits) 
skaliert werden, die Laufzeiten gingen von zwischen einer halben und einer dreiviertel Stunde 
auf Minuten bzw. sogar Sekunden zuruck. Alle Beispiele wurden auf einem Intel Pentium II 
PC mit 450 MHz CPU, 128M Hauptspeicher unter Linux gemessen. Insbesondere fallt auf, 
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dafl die Berechnungszeiten des Verfahrens zur Analyse des Designs und zur Generierung des 
reduzierten Modells von zwischen 3 und 7 Sekunden nahezu vernachlassigbar sind. 
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AbbiidungO. Ergebnisse: Adrefi-Management-Einheit 



Das vorgestellte Verfahren ist prinzipiell auf jede Art von Schaltung anwendbar, wie bereits 
erwahnt kann keine Verschlechterung der Verifikationsbedingungen erfolgen. In weiteren Un- 
tersuchungen stellte sich bei einer Reihe von realen Schaltungen heraus, dafi die Methode 
eine signifikante Beschleunigung der Verifikationsaufgabe bewirkt. Es wurde eine bestimmte 
und wichtige Klasse von Schaltungen identifiziert, fiir die diese Art von Vorverarbeitung be- 
sonders gut geeignet scheint. Diese Klasse beinhaltet u.a. Speicher, FIFO's, Queues, Stacks, 
Bridges und Interface- Protokolle. 

6 Stand der Technik 

Unser Ansatz benutzt eine neue Technik zur Analyse von Datenabhangigkeiten und zur Word- 
Level Abstraction. Den wissenschaftlichen Rahmen bildet eine formale Theorie von Bitvek- 
toren fester Lange, die eine Erweiterung der Kerntheorie von Bitvektoren ist, die in [CMR96] 
und [Moe98] vorgestellt wird. Die Grundidee einer Granularitats-Analyse findet sich anson- 
sten auch noch in [CMR97]. [Moe98] prasentiert eine Word-Level Entscheidungsprozedur fiir 
einzelne Gleichungen innerhalb der Kerntheorie mit Extraktions- und Konkatenationsopera- 
tor. Der Kern einer Minimale-Breiten-Abstraktion findet sich dort bei der Representation 
bitweiser Boolescher Funktionen mittels Bitvektor-BDD's. Weitere Entscheidungsprozedu- 
ren fiir Bitvektor-Theorien finden sich weiterhin in [BP98] und [BDL98b], letztere behandelt 
zusatzlich Word-Level Addition. Kiirzlich benutzte [ChHOO] Word-Level ATPG und Modular 
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Arithmetic Constraint Solving Techniken innerhalb RT- Level Verifikationsverfahren. Letzt- 
lich benutzt z.B. [BV99b] einen ganzlich anderen Zugang zu Bit-Level Abstraktionen. 

Der Autor dieses Verfahren ist sich keiner anderen Arbeit bewuCt, die eine vergleichbare 
Granularitats-Analyse fur komplette RT-Level Schaltungsbeschreibungen oder eine ahnliche 
Minimale-Breiten-Abstraktion mit den hier geschilderten Eigenschaften benutzt. Auch ist 
ihm keine andere Arbeit bekannt, die vorher genannte Techniken oder ahnliche Bitvektor- 
Techniken nicht zur Verifikation, sondern zur Modell-Vorverarbeitung mit den hier genannten 
Merkmalen fiir die Verifikation anwendet. 
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AbbildunglO. Classical Property Checking (left) vs. Property Checking with Preprocessing (right) 
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Abbildungll. Granularitatsanalyse (Flow + Beispiel 1) 
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Abbildungl2. Granularitatsanalyse (Flow + Beispiel 2) 
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Abbildungl3. Granularitatsanalyse (Flow + Beispiel 3) 
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Keine operator-bedingtcn Abhangigkeiten 



C, keine operator-bedingten Abhangigkeiten 




min — 1 






Abbildungl4. Minimale-Breiten- Abstraktion (Flow + Beispiel 1) 
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Take Syiiem of Equivalence Classes 
with Dependency Information 



Process (next) Equivalence Class 



Compute Minimum Width depending on 
Siie (Number of Chunks) and Dependencies (among Chunks) 
of the Class 




C, ungleichungs-bedingte Abhangigkeiten 



min = \C\ - |Zusammenhangskomponenten| 




Abbildungl5. Minimale-Breilen-Abstraktion (Flow + Beispiel 2) 
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Granularity- Analysis 



Process (ncxlt Equation 



Analyze Data-Dependencies 
according io the specific Types ol Operators 
(e.£. !f-Thcn-Else. Arithmetics. Boolean Operators . ) 





°[16] and ^[16] = C [16) or d[16j 



Boolesch- bed ingte Abhangigkeiten: 
B (°[16]» &{16]i c (i6] ; rffie]) 




Compote Minimum Width depending on 
Size (Number of Chunks) and Dependencies (among Chunks) 
of the Class 



C, Boolesch-bedingte Abhangigkeiten 



7712 n = max(min(B)) 

B Boolesche Zusarnmenhangskomponente von C 





AbbildunglG. Minimale-Breiten- Abstraktion (Flow + Beispiel 3) 
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<X 







Granularity- Anal)'* ii 






Minimurn- Width- Abstraction 












Go through all i 


nitial Equation* 





Process (nexl) Equation 



Canonize Equation to NormaJ Form 
and go through btl Variables occurring in the Equi 



Process (next) Variable 



Compule the turn or all Minimum Width 
of all Chunk* of the Variable 
according to the computed Granularity 
and Equivalence Classes 



Replace the original Width of the Variable 
by the computed Sum 
in all Occurrence* within the Equation 




x [8] <7,6><5,0> 

y[8](7,6)<5,0) 

2(81(7,6X5,0) 

fl[4l(3,0> 

6 (41 (3,0> 




x {8] = ite(o t4 ] = &[4]i y[8]i *[8]) 



Bf8] 



V{8) 



r = 3 z = 3 r = 3 



3(3] = 'te(o[i] = y (3] , z [3J ) 



1(4] 



X 1 = 1 



5(4] 



^ = 1 



Abbildungl8. Modell-Generierung (Flow 4- Beispiel 2) 
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Granularity-Analyjii 



Mini mum- Width- Abstract ion 



Go through all iniiiul Equation* 



Process (acn) Equation 



Canooiie Equation lo Normal Form 
d go through ill Variables occurring in the Equation 



Process (next) Variable 



Compute the sum of ill Minimum Width 
or »1 1 Chunk i of the Variable 
according to the computed Granularity 
and Equivalence Cltuti 



Replace Ihe original Width of the Variable 
by the computed Sum 
in alt Occurrence* wiihin Ihe Equation 



o (16] (15,8){7,2)(l,0) 
fc (16] {15 ) 8){7,2>(l,0) 
c (16) (15,8)(7,2)(l,0) 
d {16] <15 ) 8){7 1 2){l < 0) 



°{16] and &(16] = C[16] or d( 16) 



*[16] 



r = 4 



0(16] 



r = 4 



C[16) 



£ = 4 




a \4) and 6 (4 j = c^j or d {4 j 



r = 4 



U there another 
Variable? 




Abbildungl9. Modell-Generierung (Flow + Beispiel 3) 
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